Feora
Je vais la refaire, mais bon faut pas avoir la tête dure non plus…
Les paquets sont vérifié par signature avec des clefs GPG https://fr.wikipedia.org/wiki/GNU_Privacy_Guard qui vas vérifier l’authenticité de ce que tu installe.
Si tu installe des paquets des dépôts officiels c’est vérifié (dépôts Fedora, Fedora updates). Après si tu installe des dépôts tiers généralement ils fournissent aussi des clefs GPG pour le travail, mais là la fiabilité du dépôt est à vérifier avant.
On fourni une liste de dépôts généralement fiable. (voir la partie “documentation”)
Mais comme tu cherche la petite bête, sache que “rien n’est fiable/sécurisé à 100% et ne le sera jamais”.
Même Microsoft update c’est déjà fait piraté…
Après pour aller plus loin, tu peux aussi utiliser les outils d’audit fourni pour vérifier le système, sachant que parfois tu peux tomber sur des faux positifs et sur des situations qui ne posent pas de souci. Faudra pas paniquer non plus à chaque fois.
Style “Lynis”, “rkhunter” et autres…
Et Comme dit dans la doc sur DNF : https://doc.fedora-fr.org/wiki/DNF,_le_gestionnaire_de_paquets_de_Fedora
On ne peut pas faire plus claire :
Par défaut, dnf vérifie l'intégrité des paquets qu'il installe en utilisant la clé GPG du dépôt. Cette vérification permet de confirmer que le paquet n'a pas été altéré depuis sa mise en ligne, volontairement (piratage) ou non (problème de téléchargement). Si cette vérification échoue, il ne faut surtout pas installer le paquet incriminé.